-o0o :… :… :…121340…………………………… - 2012 -o0o - , ngh ARP Address Resolution Protocol DoS Denied of Service DDoS Distributed Denied of Service VPN Virtual Private Network IPSec Internet Protocol Security SSL Secure Sockets Layer TLS Transport Layer Security AD Domain Active Directory Domain CHƢƠNG TỔNG QUAN VỀ AN TỒN THƠNG TIN 1.1 U AN TỒN THƠNG TIN M 1.1.1 Tại cần đảm bảo an toàn thông tin 1.1.2 Khái niệm an tồn thơng tin 1.1.2.1.Khái niệm 1.1.2.2.Đặc điểm hệ thống khơng an tồn 1.2 AN TỒN THƠNG TIN 10 N 10 10 1.2.2.1 Mục tiêu an tồn thơng tin 10 1.2.2.2 An tồn thơng tin 11 1.2.2.3 Hành vi vi phạm thông tin 12 13 1.2.3.1 Giới hạn quyền hạn tối thiểu 13 1.2.3.2 Bảo vệ theo chiều sâu 13 1.2.3.3 Nút thắt 13 1.2.3.4 Điểm yếu 13 1.2.3.5 Tính đa dạng bảo vệ 14 1.2.4 Một số giải pháp chung bảo đảm an tồn thơng tin 14 1.2.4.1 Chính sách 14 1.2.4.2 Các giải pháp 14 1.2.4.3 Công nghệ 15 1.2.4.4 Con ngƣời 15 1.2.5 Nội dung ứng dụng an tồn thơng tin 15 1.3 I 1.4 M NG” 16 NG CHIA THEO C NGUY M 16 16 16 1.4.2 L 16 1.5 NG THEO C NĂNG , M 17 17 : 19 20 22 22 22 23 (Database) 25 CHƢƠNG 2.1 TIN 27 N CÔNG NG THÔNG TIN 27 27 27 g tin 28 2.1 28 2.2 T SÔ N CÔNG O NG U AN N 29 29 29 2.2 29 2.3 30 2.4 31 32 2.2.1.2 Tấn công hệ thống Windows qua lỗ hổ 2.2.1.3 Ví dụ khác 32 2.2.2 Tấn công mạng 33 2.2.2.1 Tấn công từ chối dịch vụ 33 2.2.2.2 Tấn công giả mạo hệ thống tên miền Internet 34 2.2.3 Tấn công sở liệu 34 2.3 C PHƢƠNG P NG NH N CÔNG NG NG 37 37 37 2.5 37 41 41 42 43 2.6 43 47 ) 47 ) 47 47 2.7 48 52 2.8 52 53 54 55 55 2.9 56 57 62 63 63 64 CHƢƠNG 3.1 66 N CÔNG SQL INJECTION 66 66 66 66 3.1.2 3.1 67 3.2 69 3.3 70 3.4 71 3.5 71 3.6 72 3.2 NG N M NGHE N (SNIFFING) WIRESHARK 73 73 3.7 73 73 74 74 3.8 74 3.9 75 3.10 76 3.11 76 3.12 77 3.13 77 3.3 CHƢƠNG NH M T N ĐĂNG P A I NG TRÊN WEB 78 78 78 80 3.14 80 82 O 83 Chƣơng TỔNG QUAN VỀ AN TỒN THƠNG TIN 1.1 AN TỒN THƠNG TIN 1.1.1 Tại cần đảm bảo an tồn thơng tin Sự đời internet thay đổi lớn cách tiếp nhận,trao đổi thông tin người Thương mại điện tử ( E-commerce) : giao thông buôn bán điện tử, ebanking:ngân hang điện tử Nhưng từ nảy sinh nhiều vấn đề.Thơng tin bị đánh cắp, làm sai lệch, tráo đổi… gây không tác hại Điều ảnh hưởng lớn tới cơng ty, tập đồn, an ninh quốc gia Trong bối cảnh vấn đề an tồn thơng tin (ATTT) đặt thực tiễn bước lý luận Cùng với phát triển mạnh mẽ công nghệ thông tin (CNTT), ATTT trở thành môn khoa học thực thụ 1.1.2 Khái niệm an toàn thơng tin 1.1.2.1.Khái niệm An tồn thơng tin (ATTT) có nghĩa thông tin bảo vệ, hệ thống dịch vụ có khả chống lại tai họa, lỗi tác động không mong đợi, tác động đến độ an toàn hệ thống nhỏ 1.1.2.2.Đặc điểm hệ thống không an tồn Hệ thống có địa điểm sau khơng an tồn - Các thơng tin liệu hệ thống bị người không quyền truy cập tìm cách lấy sử dụng (thơng tin bị rị rỉ) - Các thơng tin hệ thống bị thay sửa đổi làm sai lệch nội dụng (thơng tin bị xáo trộn) Thơng tin có giá trị đảm bảo tính xác kịp thời Quản lý an toàn rủi ro gắn chặt với quản lý chất lượng Khi đánh giá ATTT cần dựa phân tích rủi ro, tăng an tồn cách giảm thiểu rủi ro Đánh giá cần phù hợp với đặc tính, cấu trúc, q trình kiểm tra chất lượng yêu cầu ATTT 1.2 AN TỒN THƠNG TIN Khi nhu cầu trao đổi thơng tin ngày lớn, phát triển ngành công nghệ thông tin để nâng cao chất lượng lưu lượng thơng tin quan niệm ý tưởng biện pháp bảo vệ an tồn thơng tin đổi Bảo vệ thông tin vấn đề lớn, có lien quan đến nhiều lĩnh vực 1.2.1 Các phương pháp bảo vệ thơng tin gộp vào nhóm sau: - Bảo vệ thơng tin phương pháp hành - Bảo vệ thơng tin bằ thuật (phần cứng) - Bảo vệ thông tin câc phương pháp thuật tốn (phần mềm) Ba nhóm kết hợp với triển khai độc lập.Hiện môi trường bảo vệ phức tạp dễ bị công môi trường mạng truyền tin Biện pháp hiệu kinh tế biện pháp thuật toán 1.2.2 1.2.2.1 Mục tiêu an tồn thơng tin An tồn thơng tin đảm bảo yêu cầu sau: 1/ Bảo đảm bí mật (Bảo mật) Bảo đảm thông tin không tiết lộ cho người khơng có thẩm quyền 2/ Bảo đảm toàn vẹn Ngăn chặn hay hạn chế việc bổ sung, loại bỏ, hay sửa đổi thông tin mà không phép echo "Mời quay lại trang trước";?> : 3.2 3.3 : sql= select * from user where nickname= 'admin' and password= 'admin' C = admin password ' OR ''=' 3.4 3.5 : 3.6 ' OR ''=' : sql= select nickname from user where nickname= 'blabla' and password='' OR ''='' (SNIFFING) WIRESHARK : Wireshark User's Guide) 3.7 : - 32-bit, 64-bit - 128 MB RAM - : Ethernet, WLAN : - Window 2000, XP, Server 2003, Vista, Server 2008 3.2.3 - bao ,… 3.2.4 : dk2.hpu.edu.vn (117.6.172.31) 117.6.172.31 3.8 : ID 121340 3.9 121340 3.10: : 3.11 3.12 3.13 3.3 WEB : -128 MB RAM -320 MB free fixed disk - 200, XP (Server 2003), Vista (Server 2008), - ) : -Apache 2.2.14 -MySQL 5.2.41 -PHP 5.3.1 3.3.2 ) : char *Brute_Force(char *source, char *substr, int *k) { int i = 0, j = 0, m, n; n = strlen(source) - 1; m = strlen(substr) - 1; do{ if (source == substr[j]) { i++; j++; } else { i = i - j + 2; j = 0; } } while (j